ITAM, Digitale Autonomie en de Europese Realiteit

English version: scroll down.

Digitale soevereiniteit is geen politiek modewoord meer. Het is een strategische realiteit. Met de invoering van NIS2 en DORA verschuift de focus van technische beveiliging naar structurele beheersing van digitale afhankelijkheden.

Waar veel organisaties nog denken in termen van "security tooling", vraagt Europa om iets fundamentelers: inzicht in de volledige digitale keten.

NIS2 verplicht organisaties om risico's in hun toeleveringsketen aantoonbaar te beheersen. DORA gaat nog verder en legt financiële instellingen expliciete verplichtingen op rondom ICT-resilience, uitwijk, concentratierisico en contractuele beheersing van derde partijen.

Dat betekent concreet:

• Wie zijn onze kritieke softwareleveranciers?
• Onder welke jurisdictie vallen zij?
• Waar staat onze data?
• Wat gebeurt er bij geopolitieke escalatie?
• Kunnen wij gecontroleerd migreren?

Dit zijn geen security-vragen. Dit zijn governance-vragen.

En precies daar raakt IT Asset Management en Software Asset Management de kern.

Volwassen ITAM/SAM maakt het mogelijk om:

• Juridische exposure in kaart te brengen
• Cloud-concentratierisico te analyseren
• Contractuele exit-clausules te beoordelen
• Technische en financiële afhankelijkheden te modelleren
• Scenario's door te rekenen

De discussie over Europese alternatieven wordt steeds relevanter. Spelers als OVHcloud, IONOS, Scaleway, Stackit, Nextcloud en Proton laten zien dat er een ecosysteem ontstaat dat minder afhankelijk is van Amerikaanse jurisdictie.

Digitale autonomie betekent niet dat Amerikaanse technologie moet verdwijnen. Het betekent dat afhankelijkheid een bewuste strategische keuze moet zijn, ondersteund door inzicht en governance.

ITAM en SAM verschuiven daarmee van kostenoptimalisatie naar strategische risicobeheersing.

De vraag voor bestuurders is niet langer:
"Hoe besparen we op licenties?" (in mijn ogen al jaren de verkeerde vraag; het zou "wat brengen de software licenties op´ moeten zijn)

Maar:
"Hoe afhankelijk zijn wij van externe digitale machten – en kunnen we dat uitleggen aan onze toezichthouder?"

ITAM, Digital Autonomy and Europe's Strategic Shift

Digital sovereignty is no longer a political aspiration. It has become a regulatory and strategic reality.

Through NIS2 and DORA, the European Union is moving beyond cybersecurity tools towards structural governance of digital dependencies.

NIS2 requires demonstrable supply chain risk management.
DORA demands operational resilience, concentration risk oversight, and contractual control over ICT third parties.

This raises fundamental governance questions:

• Who are our critical software providers?
• Under which jurisdiction do they operate?
• Where is our data physically located?
• What is our exit strategy?
• Can we withstand geopolitical disruption?

These are not merely technical issues. They are board-level governance matters.

Mature IT Asset Management and Software Asset Management provide the mechanism to:

• Map jurisdictional exposure
• Assess cloud concentration risks
• Evaluate contractual exit clauses
• Model financial and technical dependency
• Support regulatory reporting

European alternatives such as OVHcloud, IONOS, Scaleway, Stackit, Nextcloud, and Proton are gaining relevance as part of a broader digital ecosystem seeking greater autonomy.

Digital autonomy does not require abandoning US technology.
It requires understanding dependency, quantifying risk, and designing resilience.

ITAM and SAM are evolving from cost optimisation disciplines into strategic instruments of digital governance.

The question for boards is no longer:
"How much are we spending on licences?" (in my opinion, this always should've been "what do the software licenses bring?")

It is:
"How exposed are we — and can we defend that position under regulatory scrutiny?"